Passerelle

La passerelle (serveur DHCP, routage IP, ...)

Intro

La passerelle proto.fablab.sorbonne-universite.fr est un PC fonctionnant sous NetBSD, avec deux disques dur en RAID-1. Elle est accessible par ssh uniquement par clef publique/clef privée (pas de mot de passe).

serveur DHCP

La configuration du serveur DHCP se trouve dans le fichier /etc/dhcpd.conf. Les logs du serveur sont dans /var/log/dhcp. Dans le fichier de conf il est possible d'enregistrer les adresses ethernet des machines pour leur attribuer une adresse IP fixe. C'est le cas pour toute les imprimantes 3d et pour certaines machines fixes. Pour les vlans 205 et 3 il y a également une plage d'adresses dynamiques (la ligne range) permettant d'attribuer une adresse IP à une machine qui n'est pas enregistrée.

Routage IP

La passerelle assure le routage IP pour les vlans 2 (imp, 10.0.2.0/24) et 3 (pub, 10.0.3.0/24), avec filtrage et translation d'adresse (NAT) pour les communications extérieures. L'outil utilisé est npf (voir les pages de manuel npf, npf.conf sous NetBSD ainsi que http://rmind.github.io/npf/.

Pour pouvoir assurer le routage la machine doit avoir une adresse IP sur chaque vlan. Pour cela, la machine utilise l'encapsulation 802.1q pour envoyer des trames sur les differents vlan en utilisant une seule interface physique. Cela suppose que le port du switch en face soit configuré pour accepter ces trames.

L'interface physique est utilisée pour communiquer sur le vlan 1, qui permet de joindre les équipements réseau. Pour chaque autre vlan une interface vlan est créé avec l'adresse IP correspondante (voir les fichiers /etc/ifconfig.*).

Portail captif

Sur le réseau fablab (vlans 2 et 3), l'accès à l'extérieur est limité tant que la machine ou object connecté n'a pas été autentifié. L'autentification se fait par la page https://proto.fablab.sorbonne-universite.fr/gw/. Un ordinateur ou téléphonne devrait ouvrir automatiquement cette page; si ce n'est pas le cas il est toujours possible d'entrer l'URL ci dessus dans la barre d'adresse.

Certaines destinations sont accessibles sans autentification, en particulier les site web fablab.sorbonne-universite.fr et wiki.fablab.sorbonne-universite.fr, proxyweb.upmc.fr, les services DNS et NTP du campus.

Lors de la connection à https://proto.fablab.sorbonne-universite.fr/gw/ il propose par défaut d'autoriser la machine qui se connecte. Mais il est possible d'autoriser une autre machine si on connait son adresse IP, ou son adresse MAC. Il suffit pour cela de renseigner le champ correspondant (un seul des deux suffit), et de cliquer sur le bouton Rechercher correspondant. Si la machine est connectée au réseau elle apparaitra.

Les autorisation sont remises à zero toute les nuits; mais une machine qui se déconnecte du réseau verra son autorisation supprimée après quelque minutes.

Certains équipements du lab ont une adresse IP fixe (imprimantes 3d, PCs associés au machines); la liste est dans le fichier /etc/hosts sur proto.fablab.sorbonne-universite.fr (accès par ssh pour ceux qui ont un compte).

La page https://proto.fablab.sorbonne-universite.fr/gw/status donne la liste des machines connectée au réseau, et si elles sont autorisées (et par qui).

Accès aux imprimantes 3d

La passerelle permet de lancer à distance, grâce au protocole vnc, le logiciel ideamaker pour se connecter aux raise3d et suivre (et éventuellement arrêter) une impression. Pour cela:

  1. installer un client VNC (par exemple https://www.realvnc.com/en/connect/download/viewer/)
  2. utiliser ssh pour établir un tunnel crypté depuis un port de votre machine vers le port 5900 de la passerelle: ssh -L5901:localhost:5900 proto.fablab.sorbonne-universite.fr
  3. lancer le client vnc et lui indiquer de se connecter à localhost port 5901 (cela peut être, selon les clients, localhost:5901 ou localhost:1)

Une fenêtre avec ideamaker devrait apparaitre, qui permet de se connecter aux imprimantes.